Анализ методов защиты беспроводных сетей
Арзамасский филиал
Физико-математический факультет
Кафедра прикладной информатики
Выполнила:
Пушкова К.С.,
студентка 4 курса
очной формы обучения,
направление подготовки
«Прикладная информатика»
направленность (профиль) Прикладная информатика в экономике
________________________
(подпись студента)
Курсовая работа
Анализ методов защиты беспроводных сетей
Научный руководитель:
К.б.н, доцентШирокова Н.П.
Арзамас
Содержание
Введение……………………………………………………………………….…4
ГлаваIАНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ……………………………………………………………………………..6
1.1 Принцип действия беспроводных сетей……………………………………6
1.2 Основные угрозы беспроводных сетей…………………………………….9
1.2.1 Прямые угрозы………………………………………….………………..9
1.2.2 Чужаки……………………………………………………………………10
1.2.3 Нефиксированная природа связи………………………………………..10
1.3 Уязвимости сетей и устройств……………………………………………...11
1.3.1 Некорректно сконфигурированные точки доступа………………….…11
1.3.2 Некорректно сконфигурированные беспроводные клиенты……….…11
1.3.3 Взлом шифрования………………………………………………………12
1.3.4 Имперсонация и IdentityTheft……………………………………………12
1.3.5 Отказы в обслуживании………………………………………………….13
ГЛАВА II СРЕДСТВА ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ.....………..…14
2.1 Режим безопасности WEP…………………………………………...……..14
2.2 Режим безопасности WPA…………………………………………….……14
2.3 Режим безопасности WPA-PSK………………………………………….…15
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ………………….19
3.1 Конфигурация устройств в беспроводных сетях………………………….19
3.2 Настройка безопасности беспроводной сети на примере роутера TP-Link...................................................................................................................22
Заключение……………………………………………………………………….29
Список используемых источников……………………………………………..30
Введение
В современном мире беспроводные сети используются практически во всех сферах человеческой деятельности. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.
С ростом применения беспроводных сетей, перед пользователями возникает проблема – защита информации от неправомерного доступа к этой сети. В данной работе рассматриваются способы защиты информации беспроводной сети.
Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях получить доступ к сети можно с помощью обычного приемника, находящегося в районе распространения сети.
Однако при различной физической организации сетей, создание безопасности и проводных беспроводных сетей одинаково. При организации защиты информации в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.
Объект исследования в данной работе – средства защиты информации в беспроводных сетях.
Предмет исследования – технологии защиты информации в беспроводных сетях от несанкционированного доступа.
Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.
Чтобы достичь цели курсовой работы, необходимо выполнить следующие задачи:
1) изучить принцип работы беспроводной сети;
2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализировать средства защиты информации беспроводных сетей;
4) выполнить защиту беспроводной сети от несанкционированного доступа к ней.
Глава IАНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ
Основные угрозы беспроводных сетей
Угрозы информационной безопасности, существующие при использовании беспроводных сетей разделяют на два вида:
1) Прямые – угрозы информационной безопасности, возникающие при передаче информации по беспроводному интерфейсу IEEE 802.11;
2) Косвенные - угрозы, связанные с наличием на объекте и рядом с объектом большого количества Wi-Fi-сетей.
Прямые угрозы
Канал передачи данных, используемый в беспроводных сетях может подвергаться внешнему влиянию с целью использования личных сведений, нарушения целостности и доступности информации. В беспроводных сетях существуют как аутентификация, так и шифрование, однако эти возможности защиты имеют свои недостатки. Возможности блокирования передачи данных в канале беспроводных сетей не уделено должного внимания при разработке технологии. Такое блокирование канала не представляет опасности, так как беспроводные сети выполняют вспомогательную роль, но блокирование может являтся подготовительным этапом для атаки "человек посередине", в которой когда между пользователем и точкой доступа возникает третье устройство, перенаправляющее информацию через себя. Такое воздействие предоставляет возможность удалять или изменять информацию.
Чужаки
Чужаки (RogueDevices, Rogues) – это устройства, позволяющие воспользоваться неавторизованным доступом к корпоративной сети, в обход защитных решений, заданных политикой безопасности. Отказ от использования устройств беспроводной связи не предоставляет защититу от беспроводных атак, если в сети возникнет чужак. В роли такого устройства могут выступать устройства, у которых есть проводной и беспроводной интерфейсы: точки доступа, проекторы, сканеры, ноутбуки с включёнными интерфейсами и т.д.
Взлом шифрования
Защищённость WEP очень слаба. В Интернете есть множество специального программного обеспечения для взлома этой технологии, которое выбирает статистику трафика так, чтобы её было достаточно для воссоздантя ключа шифрования. В стандартах WPA и WPA2 также имеются уязвимости различной степени опасности, которые позволяют их взлом. [4] В данном отношении в положительном ракурсе можно рассматривать технологию WPA2-Enterprise (802.1x).
Отказы в обслуживании
DoS атаки применяются для нарушения качества работы сети или на для абсолютного прекращения доступа клиентов к сетям. В случае Wi-Fi сети заметить источник, загружающий сеть «мусорными» пакетами, очень непросто – его нахождение определяется лишь зоной покрытия. При этом существует аппаратный вариант этой атаки – установливается достаточно сильный источник помех в необходимом частотном диапазоне. [7, 8]
Режим безопасности WEP
WEP (Wired Equivalent Privacy) – метод обеспечения безопасности сети, доступен для работы с устаревшими устройствами, но его применение не приветствуется из-за относительно легкого взлома защиты. При использовании протокола WEP настраивается ключ безопасности сети, который выполняет шифрование данных, передаваемых компьютером через сеть другим устройствам.
Используют два метода защиты WEP:
1) проверка подлинности в открытой системе;
2) проверка подлинности с использованием общих ключей.
Эти методы не обеспечивают высокого уровня безопасности, однако метод проверки подлинности в открытой системе является более безопасным. Для большинства устройств и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Перехватив сообщение для проверки подлинности с использованием общих ключей, можно, применяя средства анализа, выделить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP, после чего становится открыт полный доступ к сети.
Режим безопасности WPA
WPA (Wi-Fi Protected Access) является обновлённой программой сертификации устройств беспроводной связи. Технология WPA включает несколько составляющих:
v протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA);
v протокол TKIP — протокол временной целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol);
v протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol);
v MIC — криптографическая проверка целостности пакетов (Message Integrity Code);
v протокол RADIUS
Шифрованием данных в WPA занимается протокол TKIP, использующий такой же алгоритм шифрования что WEP (RC4), но при этом использует динамические (часто меняющиеся) ключи. В этой технологии применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов.
RADIUS-протокол выполняет работу вместе с сервером аутентификации (RADIUS-сервер). При таком режиме беспроводные точки доступа находятся в enterprise-режиме.
При отсутствии RADIUS-сервера роль сервера аутентификации выполняет точка доступа — так называемый режим WPA-PSK.
Режим безопасности WPA-PSK
WPA-PSK (pre-shared key, общийключ). В данной технологии в конфигурации всех точек доступа задаётся общий ключ. Этот же ключ же прописывается и на пользовательских мобильных устройствах. Такой метод защиты безопаснее в сравнении с WEP, однако не удобен с точки зрения управления. PSK-ключ необходимо задать на каждом беспроводном устройстве, все клиенты сети могут его видеть. При необходимости заблокировки доступа к конкретному пользователю в сеть, нужно снова задавать новый PSK на каждом устройстве сети. Вследствие этого данный режим WPA-PSK можно использовать в домашней сети или небольшом офисе с небольшим числом пользователей.
Рассмотрим механизмы работы WPA. Технология WPA была введена как временная мера до до начала использования стандарта 802.11i. Некоторые производители до ввода этого стандарта стали применять технологию WPA2, в некоторой степени включающую в себя элементы стандарта 802.11i, например, использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), вместо TKIP. В WPA2 качестве алгоритма шифрования используется улучшеная технология шифрования AES (Advanced Encryption Standard). Для работы с ключами используется протокол 802.1x., который может выполнять несколько функций. В вопросах безопасности рассмотрим функции аутентификации пользователя и распределение ключей шифрования. В данном протоколе аутентификация выполняется «на уровне порта». До тех пор, пока пользователь не выполнит аутентификацию, он может отправлять/принимать пакеты, имеющие отношение только к процессу его учетных данных и только. Лишь пройдя успешную аутентификацию порты точки доступа или коммутатора будут открыты и клиент сможет пользоваться ресурсами сети.
Протокол EAP выполняет функции аутентификации и является лишь надстройкой для методов аутентификации. Все преимущества протокола состоят в том, что он очень просто реализуется на точке доступа, так как ей не нужно знать никаких особенностей разнообразных методов аутентификации. В этом случае точка доступа в качестве аутентификатора выполняет лишь передаточные функции между пользователем и сервером аутентификации. Существуют следующие методы аутентификации:
ü EAP-SIM, EAP-AKA — выполняются в сетях мобильной связи GSM;
ü LEAP — пропреоретарный метод от Cisco systems;
ü EAP-MD5 — простейший метод, аналогичный CHAP;
ü EAP-MSCHAP V2 — в основе метода аутентификации лежит использование логина/пароля пользователя в MS-сетях;
ü EAP-TLS — аутентификация на основе цифровых сертификатов;
ü EAP-SecureID — в основе метода лежит применение однократных паролей.
Кроме вышеизложенных, можно выделить ещё два метода: EAP-TTLS и EAP-PEAP, которые перед непосредственной аутентификацией клиента вначале создают TLS-туннель между пользователем и сервером аутентификации, внутри которого и выполняется сама аутентификация, с использованием методов MD5, TLS, PAP, CHAP, MS-CHAP, MS-CHAP v2. Создание туннеля повышает уровень безопасности аутентификации, защищая от атак типа «человек посредине», «session hihacking» или атаки по словарю.
Схема аутентификации состоит из трех компонентов:
v Supplicant — приложение, запущенное на устройстве пользователя, пытающегося выполнить подключение к сети;
v Authenticator — узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x);
v Authentication Server — сервераутентификации (RADIUS-сервер).
Аутентификация состоит из следующих этапов:
1) Клиент посылает запрос на аутентификацию в сторону точки доступа.
2) Точка доступа в ответ создает клиенту запрос на идентификацию клиента.
3) Клиент в ответ высылает пакет с необходимыми данными, который точка доступа перенаправляет в сторону сервера аутентификации.
4) Сервер аутентификации отсылает аутентификатору (точке доступа) запрос информации о подлинности клиента.
5) Аутентификатор пересылает этот пакет клиенту.
После этого выполняется взаимная идентификации сервера и клиента. Число пересылок пакетов в одну и в другую сторону изменяется в зависимости от метода EAP, но в беспроводных сетях используется лишь «strong» аутентификация с обоюдной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и созданием шифрования канала связи.
6) На следующем этапе, сервер аутентификации, с необходимой информацией от клиента, разрешает или запрещает пользователю доступ, с отсылкой соответствующего сообщения аутентификатору (точке доступа). Аутентификатор выполняет открытие порта, если со стороны сервера аутентификации пришел положительный ответ.
7) Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт». [9]
Для соединения клиента и точки доступа применяются пакеты EAPOL. Протокол RADIUS используется при обмене данными между аутентификатором и RADIUS-сервером.
Начальная аутентификация выполняется на базе общих данных, которые известны и клиенту, и серверу аутентификации, например, логин/пароль, сертификат и т.д. При этом создаётся «мастер ключ», с помощью которого клиент и сервер аутентификации генерируют «парный мастер ключ», который передается точке доступа от сервера аутентификации. Впоследствии на основе «парного мастера ключа» и создаются все остальные изменяющиеся со временем ключи, которые и закрывают передаваемый трафик.
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ
Заключение
В данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью беспроводных сетей.
Для достижения цели курсовой работы, были выполнены следующие задачи:
1) изучен принцип работы беспроводной сети;
2) были исследованы виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализированы средства защиты информации беспроводных сетей от несанкционированного доступа;
4) произведена защита беспроводной сети от несанкционированного доступа к ней.
Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются чужаки, нефиксированная связь, отказ в обсаживании, подслушивание.
Обзор программных средств, используемых для защиты информации беспроводных сетей показал, что наиболее целесообразно использовать режим WPA2. WPA2 является обновленной программой сертификации устройств беспроводной связи. В данном режиме усилена безопасность данных и контроль доступа к беспроводным сетям, поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет более стойкий криптоалгоритм. Данный режим безопасности был применён при настройке роутера беспроводной сети TP-Link.
В ходе исследования все поставленные задачи были выполнены. Цель курсовой работы достигнута.
Арзамасский филиал
Физико-математический факультет
Кафедра прикладной информатики
Выполнила:
Пушкова К.С.,
студентка 4 курса
очной формы обучения,
направление подготовки
«Прикладная информатика»
направленность (профиль) Прикладная информатика в экономике
________________________
(подпись студента)
Курсовая работа
Анализ методов защиты беспроводных сетей
Научный руководитель:
К.б.н, доцентШирокова Н.П.
Арзамас
Содержание
Введение……………………………………………………………………….…4
ГлаваIАНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ……………………………………………………………………………..6
1.1 Принцип действия беспроводных сетей……………………………………6
1.2 Основные угрозы беспроводных сетей…………………………………….9
1.2.1 Прямые угрозы………………………………………….………………..9
1.2.2 Чужаки……………………………………………………………………10
1.2.3 Нефиксированная природа связи………………………………………..10
1.3 Уязвимости сетей и устройств……………………………………………...11
1.3.1 Некорректно сконфигурированные точки доступа………………….…11
1.3.2 Некорректно сконфигурированные беспроводные клиенты……….…11
1.3.3 Взлом шифрования………………………………………………………12
1.3.4 Имперсонация и IdentityTheft……………………………………………12
1.3.5 Отказы в обслуживании………………………………………………….13
ГЛАВА II СРЕДСТВА ЗАЩИТЫ БЕСПРОВОДНЫХ СЕТЕЙ.....………..…14
2.1 Режим безопасности WEP…………………………………………...……..14
2.2 Режим безопасности WPA…………………………………………….……14
2.3 Режим безопасности WPA-PSK………………………………………….…15
Глава III НАСТРОЙКА БЕЗОПАСНОСТИ В WIFI-СЕТИ………………….19
3.1 Конфигурация устройств в беспроводных сетях………………………….19
3.2 Настройка безопасности беспроводной сети на примере роутера TP-Link...................................................................................................................22
Заключение……………………………………………………………………….29
Список используемых источников……………………………………………..30
Введение
В современном мире беспроводные сети используются практически во всех сферах человеческой деятельности. Такое повсеместное использование беспроводных сетей связано с тем, что ими можно пользоваться не только на персональных компьютерах, но и на мобильных устройствах, а также их удобством, связанным с отсутствием кабельных линий и сравнительно небольшой стоимостью. Беспроводные сети удовлетворяют совокупности требований к качеству, скорости, защищенности, радиусу приема. Особое внимание необходимо уделять защищенности, как одному из самых важных факторов.
С ростом применения беспроводных сетей, перед пользователями возникает проблема – защита информации от неправомерного доступа к этой сети. В данной работе рассматриваются способы защиты информации беспроводной сети.
Актуальность создания условий безопасного пользования беспроводной сетью обусловлена тем, что в отличие от проводных сетей, где необходимо вначале получить физический доступ к кабелям системы, в беспроводных сетях получить доступ к сети можно с помощью обычного приемника, находящегося в районе распространения сети.
Однако при различной физической организации сетей, создание безопасности и проводных беспроводных сетей одинаково. При организации защиты информации в беспроводных сетях необходимо больше уделять внимание обеспечению невозможности утечки и целостности информации, проверке идентичности пользователей и точек доступа.
Объект исследования в данной работе – средства защиты информации в беспроводных сетях.
Предмет исследования – технологии защиты информации в беспроводных сетях от несанкционированного доступа.
Целью курсовой работы является изучение методов повышения защиты данных при передаче с помощью беспроводных сетей.
Чтобы достичь цели курсовой работы, необходимо выполнить следующие задачи:
1) изучить принцип работы беспроводной сети;
2) исследовать виды угроз и их отрицательное воздействие на работу беспроводных сетей;
3) проанализировать средства защиты информации беспроводных сетей;
4) выполнить защиту беспроводной сети от несанкционированного доступа к ней.
Глава IАНАЛИЗОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ